Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ANTECEDENTES
I.- El día 11 de julio de 2017, el Titular del Poder Ejecutivo por conducto de la Coordinación
General de Asuntos Jurídicos del Gobierno del Estado de Tabasco, por medio de oficio número:
CGAJ/1164/2017 presentó una Iniciativa con Proyecto de Decreto por el cual se expide la Ley de
Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Tabasco.
III.- En la misma fecha, el Lic. Gilberto Mendoza Rodríguez, Secretario General del Congreso del
Estado, por instrucciones del Presidente de la Comisión Permanente de la Sexagésima Segunda
Legislatura del Honorable Congreso del Estado de Tabasco, turnó mediante memorándum No.:
HCE/SG/C0226/2017 la Iniciativa en comento a la Comisión Ordinaria de Gobernación y Puntos
Constitucionales, para su estudio y presentación del acuerdo o dictamen que en su caso
proceda.
V.- Por escrito número CP2R2A.-3091.26, recibido el 14 de julio de 2017, suscrito por la
Diputada Himelda Félix Niebla, Vicepresidenta de la Mesa Directiva de la Comisión Permanente
del H. Congreso de la Unión, mediante el cual hace llegar Punto de Acuerdo aprobado por el que
se exhorta a los congresos locales de la entidades federativas, para que, armonicen su
1
legislación local de acuerdo a lo establecido en la Ley General de Protección de Datos
Personales en Posesión de Sujetos Obligados.
VI.- Para dar cumplimiento a lo dispuesto por los artículos 63, 65, fracción I, 66, 75, fracción XIII
último párrafo de la Ley Orgánica del Poder Legislativo del Estado y, 58, fracción XIII, inciso i)
del Reglamento Interior en vigor del H. Congreso del Estado de Tabasco, los Diputados
integrantes de las Comisión Ordinaria de Gobernación y Puntos Constitucionales, se reunieron el
día 11 de agosto del año 2017, a efecto de analizar, dictaminar y determinar el sentido de su
voto, de la Iniciativa con Proyecto de Decreto por el que se expide la Ley de Protección de Datos
Personales en Posesión de Sujetos Obligados del Estado de Tabasco.
CONTENIDO DE LA INICIATIVA
La Iniciativa con Proyecto de Decreto presentada por el Gobernador del Estado, por el que
propone expedir la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados
del Estado de Tabasco, se sustenta en la siguiente exposición de motivos:
“El uso extensivo de las tecnologías de la información y las telecomunicaciones ha permitido que
en muchas ocasiones los datos personales sean utilizados para fines distintos para los que
originalmente fueron recabados, y que sean entregados a entes distintos a los que el titular de
los datos les confió la información, violando la esfera de privacidad de la persona y, en
ocasiones, lesionando otros derechos y libertades.
A fin de equilibrar las fuerzas entre un individuo y aquellas instituciones públicas que recaban o
colectan datos personales, surgió en varios países el concepto de la protección de los datos
personales.
Bajo el concepto de protección de datos personales, el titular (o dueño) de dichos datos tiene el
derecho y la libertad de elegir qué desea comunicar, cuándo y a quién, manteniendo el control
sobre su información personal. En naciones desarrolladas, la protección de datos personales es
el más nuevo de los derechos del que goza un ciudadano.
El mismo ordenamiento en su artículo 16, segundo párrafo, establece que toda persona tiene
derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los
mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá
los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de
seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger
los derechos de terceros.
La Constitución Política del Estado Libre y Soberano de Tabasco establece en su artículo 4 bis,
fracciones III y IV, el derecho a la intimidad que incluye la privacidad de la vida familiar en primer
grado y en general la que refiere a sus datos personales, el cual deberá ser garantizado por el
Estado en los términos y excepciones que fijen las leyes, teniendo siempre como referente el
respeto a la dignidad humana, y el principio de máxima publicidad en el ejercicio del derecho a la
información pública, en el que toda persona sin distinción alguna, y sin necesidad de acreditar
interés alguno o justificar su utilización podrá acceder gratuitamente a la información pública, a
sus datos personales o a la rectificación de éstos.
Con fecha 26 de enero de 2017 se publicó en el Diario Oficial de la Federación la Ley General
de Protección de Datos Personales en Posesión de los Sujetos Obligados, con el objeto de
establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda
persona a la protección de sus datos personales en posesión de los sujetos obligados. La
disposición legislativa es integrante del régimen constitucional en materia de transparencia,
misma que fue publicada en el Diario Oficial de la Federación el 7 de febrero de 2014 y mandató
la generación de disposiciones legislativas comunes para los tres órdenes de gobierno en
materia de acceso a la información pública, protección de datos personales y archivos. Esta Ley
General, en su artículo segundo, establece entre sus objetivos: distribuir competencias entre los
organismos garantes de la federación y las entidades federativas en materia de protección de
datos personales; establecer las bases mínimas que regirán los procedimientos para garantizar
el ejercicio de los derechos de protección de datos personales; establecer los procedimientos y
condiciones homogéneas que regirán el ejercicio de los derechos de acceso, rectificación,
cancelación y oposición, y al tratamiento de los datos personales en posesión de los sujetos
obligados, mediante procedimientos sencillos y expeditos, garantizando que toda persona pueda
ejercer el derecho a la protección de los datos personales.
En cumplimiento a lo anterior, el Poder Ejecutivo del Estado elaboró el presente Proyecto de Ley
de Protección de Datos Personales en Posesión de los Sujetos Obligados del Estado de
Tabasco, misma que recoge los principios rectores generales dispuestos en la Ley General.
El proyecto de Ley que se presenta, dispone que los sujetos obligados deberán establecer y
mantener medidas de seguridad para proteger los datos personales que posean, contra
cualquier daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado,
así como garantizar su confidencialidad, integridad y disponibilidad. En ese mismo sentido, los
responsables deberán establecer medidas de prevención respecto a vulneraciones a los datos
personales que posean conforme a las mejores prácticas.
Datos Personales Sensibles: Aquellos que se refieran a la esfera más íntima de su titular, o
cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste.
De manera enunciativa más no limitativa, se consideran sensibles los datos personales que
puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro,
información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia
sexual;
De los conceptos referidos, destacan los Derechos ARCO, que refieren a derechos respecto al
tratamiento que los responsables den a los datos personales en su posesión y se desarrollan
conforme a los puntos siguientes:
Derecho de Acceso: el titular tendrá derecho de acceder a sus datos personales que obren en
posesión del responsable, así como a conocer la información relacionada con las condiciones y
generales de su tratamiento.
4
Derecho de Rectificación: el titular tendrá derecho a solicitar al responsable la rectificación o
corrección de sus datos personales, cuando éstos resulten ser inexactos, incompletos o no se
encuentre actualizados.
Este proyecto de iniciativa establece que todo tratamiento de datos personales deberá estar
justificado por el responsable conforme a las finalidades concretas, lícitas, explícitas y legítimas,
relacionadas con las atribuciones que la normatividad aplicable le confiera.
En lo que refiere a los medios de impugnación, se establece que el titular podrá interponer
recurso de revisión o de inconformidad ante el Instituto Tabasqueño de Trasparencia y Acceso a
la Información Pública, o bien ante la Unidad de Transparencia del Sujeto Obligado, para lo cual
el Instituto Tabasqueño privilegiará los medios alternativos de resolución de controversias antes
de iniciar el procedimiento.
CONSIDERANDO
En similares términos, el artículo 121, fracción I, de la Ley Orgánica del Poder Legislativo del
Estado de Tabasco vigente, establece: “El derecho de iniciar leyes y decretos, corresponde: I.-
Al Gobernador del Estado”.
DECRETO 110
TÍTULO PRIMERO
Disposiciones Generales
Capítulo I
Del objeto de la Ley
Son sujetos obligados por esta Ley, en el ámbito estatal y municipal, cualquier autoridad,
entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, Ayuntamientos,
órganos autónomos, partidos políticos, fideicomisos y fondos públicos.
Los fideicomisos y fondos públicos de carácter estatal y municipal considerados como entidades
paraestatales en términos de las disposiciones aplicables, deberán dar cumplimiento por sí
mismos a las obligaciones previstas en la presente Ley y demás normatividad aplicable en la
materia, a través de sus propias áreas.
Los fideicomisos y fondos públicos de carácter estatal y municipal que no tengan la naturaleza
jurídica de entidades paraestatales o bien, no cuenten con una estructura orgánica propia que
7
les permita cumplir, por sí mismos, con las disposiciones previstas en la presente Ley, deberán
observar lo dispuesto en este ordenamiento y demás normatividad aplicable en la materia, a
través del ente público facultado para coordinar su operación.
Los sindicatos y cualquier otra persona física o jurídica colectiva que reciba y ejerza recursos
públicos o realice actos de autoridad en el ámbito estatal y municipal, serán responsables de los
Datos Personales, de conformidad con la normatividad aplicable para la protección de Datos
Personales en posesión de los particulares.
En todos los demás supuestos diferentes a los mencionados en el párrafo anterior, las personas
físicas y jurídicas colectivas se sujetarán a lo previsto en la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares.
Objetivos Específicos
Artículo 2. La presente Ley tiene como objetivos:
IV. Proteger los Datos Personales en posesión de cualquier autoridad, entidad, órgano y
organismo de los Poderes Ejecutivo, Legislativo y Judicial, Ayuntamientos, órganos
autónomos, partidos políticos, fideicomisos y fondos públicos, del Estado de Tabasco y sus
municipios, con la finalidad de regular su debido tratamiento;
V. Garantizar que toda persona pueda ejercer el derecho a la protección de los Datos
Personales;
8
VIII. Regular el procedimiento y mecanismos necesarios para la sustanciación del recurso de
revisión a que se refiere la presente Ley;
Definiciones
Artículo 3. Para los efectos de la presente Ley se entenderá por:
II. Bases de Datos: Conjunto ordenado de Datos Personales referentes a una persona física
identificada o identificable, condicionados a criterios determinados, con independencia de la
forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y
organización;
VI. Consejo Estatal: Consejo Estatal del Sistema Estatal de Transparencia, Acceso a la
Información Pública y Protección de Datos Personales, a que refiere el artículo 33 de la Ley
de Transparencia y Acceso a la Información Pública del Estado de Tabasco;
IX. Datos Personales Sensibles: Aquellos que se refieran a la esfera más íntima de su
titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo
grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los Datos
Personales que puedan revelar aspectos como origen racial o étnico, estado de salud
presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones
políticas y preferencia sexual;
XVI. Fuentes de Acceso Público: Aquellas Bases de Datos, sistemas o archivos que por
disposición de ley puedan ser consultadas públicamente cuando no exista impedimento por
10
una norma limitativa y sin más exigencia que, en su caso, el pago de una contraprestación,
tarifa o contribución. No se considerará fuente de acceso público cuando la información
contenida en la misma sea obtenida o tenga una procedencia ilícita, conforme a las
disposiciones establecidas por la presente Ley y demás normatividad aplicable;
XIX. Medidas Compensatorias: Mecanismos alternos para dar a conocer a los titulares el
Aviso de Privacidad, a través de su difusión por medios masivos de comunicación u otros de
amplio alcance;
c) Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que
pueda salir de la organización; y
11
a) Prevenir que el acceso a las Bases de Datos o a la información, así como a los recursos,
sea por usuarios identificados y autorizados;
b) Generar un esquema de privilegios para que el usuario lleve a cabo las actividades que
requiere con motivo de sus funciones;
XXVI. Responsable: Los Sujetos Obligados a que se refiere el artículo 1 de la presente Ley,
que deciden y determinan los fines, medios y demás cuestiones relacionadas con
determinado tratamiento de Datos Personales;
XXXI. Transferencia: Toda comunicación de Datos Personales dentro o fuera del territorio
mexicano, realizada a persona distinta del Titular, del Responsable o del encargado;
12
aprovechamiento, transferencia y en general cualquier uso o disposición de Datos
Personales; y
XXXIII. Unidad de Transparencia: Instancia a la que hace referencia el Capítulo IV, del
Título Segundo, de la Ley de Transparencia y Acceso a la Información Pública del Estado de
Tabasco.
V. Los registros públicos conforme a las disposiciones que les resulten aplicables.
Para que los supuestos enumerados en el presente artículo sean considerados fuentes de
acceso público será necesaria que su consulta pueda ser realizada por cualquier persona no
impedida por una norma limitativa, o sin más exigencia que, en su caso, el pago de una
contraprestación, derecho o tarifa. No se considerará una fuente de acceso público cuando la
información contenida en la misma sea o tenga una procedencia ilícita.
Los principios, deberes y derechos previstos en la presente Ley y demás normatividad aplicable
tendrán como límite en cuanto a su observancia y ejercicio la protección de disposiciones de
orden público, la seguridad y la salud públicas o la protección de los derechos de terceros.
13
Las limitaciones y restricciones deberán reconocerse de manera expresa en una norma con
rango de ley y deberán ser necesarias y proporcionales en una sociedad democrática,
respetando, en todo momento, los derechos y las libertades fundamentales de los titulares.
Cualquier ley que tenga como propósito limitar el derecho a la protección de Datos Personales
deberá contener como mínimo disposiciones relativas a:
II. Las categorías de Datos Personales o los Datos Personales específicos que son objeto
de tratamiento;
V. El derecho de los titulares a ser informados sobre la limitación, salvo que resulte
perjudicial o incompatible a los fines de ésta.
Reglas de interpretación
Artículo 8. La aplicación e interpretación de la presente Ley se realizará conforme a lo dispuesto
en la Constitución Política de los Estados Unidos Mexicanos, la Constitución Local, los Tratados
Internacionales de los que el Estado mexicano sea parte, así como las resoluciones y sentencias
vinculantes que emitan los órganos nacionales e internacionales especializados.
Supletoriedad
Artículo 9. En lo no previsto en esta Ley, se estará a lo establecido en la Constitución Política
de los Estados Unidos Mexicanos en materia de protección de Datos Personales en posesión de
sujetos obligados y, en su caso, en materia de transparencia y derecho de acceso a la
información; a lo señalado en la Ley General de Protección de Datos Personales en Posesión de
Sujetos Obligados y, en su caso, en la Ley General de Transparencia y Acceso a la Información
14
Pública; así como a lo previsto en la Constitución Política del Estado Libre y Soberano de
Tabasco en las materias referidas; en la Ley de Transparencia y Acceso a la Información Pública
del Estado de Tabasco y en el Código de Procedimientos Civiles para el Estado de Tabasco.
Capítulo II
Del Sistema Estatal de Transparencia, Acceso a la Información Pública y
Protección de Datos Personales
Objeto
Artículo 11. El Sistema Estatal contribuirá a mantener la plena vigencia del derecho a la
protección de Datos Personales en el Estado.
Este esfuerzo conjunto e integral, aportará a la implementación de políticas públicas con estricto
apego a la normatividad aplicable en la materia; el ejercicio pleno y respeto del derecho a la
protección de Datos Personales y la difusión de una cultura de este derecho y su accesibilidad.
II. Fomentar entre la sociedad una cultura de protección de los Datos Personales;
III. Analizar, opinar y proponer a las instancias facultadas para ello proyectos de reforma o
modificación de la normatividad en la materia;
15
VI. Formular, establecer y ejecutar políticas generales en materia de protección de Datos
Personales;
VII. Promover la coordinación efectiva de las instancias que integran el Sistema Estatal y dar
seguimiento a las acciones que para tal efecto se establezcan;
IX. Desarrollar proyectos para medir el cumplimiento y los avances de los Responsables;
XI. Promover e implementar acciones para garantizar condiciones de accesibilidad para que
los grupos vulnerables puedan ejercer, en igualdad de circunstancias, su derecho a la
protección de Datos Personales;
XIV. Proponer acciones para vincular el Sistema Estatal con otros sistemas y programas
nacionales, regionales o locales.
Integración
Artículo 13. El Consejo Estatal funcionará conforme a lo dispuesto en la Ley de Transparencia y
Acceso a la Información Pública del Estado de Tabasco y demás ordenamientos aplicables.
TÍTULO SEGUNDO
Principios y Deberes
Capítulo I
De los Principios
II. Explícitas: cuando las finalidades se expresan y dan a conocer de manera clara en el
Aviso de Privacidad, y
III. Lícitas y legítimas: cuando las finalidades que justifican el tratamiento de los Datos
Personales son acordes con las atribuciones expresas del responsable, conforme a lo
previsto en la legislación mexicana y en el derecho internacional que le resulte aplicable.
El Responsable podrá tratar Datos Personales para finalidades distintas a aquéllas establecidas
en el Aviso de Privacidad, siempre y cuando cuente con atribuciones conferidas en la ley y
medie el consentimiento del Titular, salvo que sea una persona reportada como desaparecida,
en los términos previstos en la presente Ley y demás disposiciones que resulten aplicables en la
materia.
Principio de lealtad
Artículo 17. El Responsable no deberá obtener y tratar Datos Personales, a través de medios
engañosos o fraudulentos, privilegiando la protección de los intereses del Titular y la expectativa
razonable de privacidad.
Para los efectos del presente artículo, se entenderá que el responsable actúa de forma
engañosa o fraudulenta cuando:
I. Medie dolo, mala fe o negligencia en el tratamiento de Datos Personales que lleve a cabo;
II. Realice un tratamiento de Datos Personales que dé lugar a una discriminación injusta o
arbitraria contra el titular, o
17
Características del consentimiento
Artículo 18. Cuando no se actualice alguno de los casos de excepción previstos en el artículo
24 de la presente Ley, el Responsable deberá contar con el consentimiento previo del Titular
para el tratamiento de los Datos Personales, el cual deberá otorgarse de forma:
I. Libre: sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de
voluntad del Titular;
II. Específica: referida a finalidades concretas, lícitas, explícitas y legítimas que justifiquen el
tratamiento; y
III. Informada: que el Titular tenga conocimiento del Aviso de Privacidad previo al
tratamiento a que serán sometidos sus Datos Personales.
El consentimiento será tácito cuando habiéndose puesto a disposición del Titular el Aviso de
Privacidad, éste no manifieste su voluntad en sentido contrario.
Por regla general será válido el consentimiento tácito, salvo que una ley o las disposiciones
aplicables exijan que la voluntad del Titular se manifieste expresamente.
Obtención del consentimiento cuando los Datos Personales se recaban directamente del
Titular
Artículo 20. El Responsable deberá obtener el consentimiento del Titular para el tratamiento de
sus Datos Personales, de manera previa, cuando los recabe directamente de éste y, en su caso,
se requiera conforme a los artículos 22 y 23 de la presente Ley.
Para efectos de la presente Ley, se entenderá que el responsable obtiene los Datos Personales
directamente del Titular cuando éste los proporciona personalmente o por algún medio que
permita su entrega directa al Responsable como son, de manera enunciativa más no limitativa,
18
medios electrónicos, ópticos, sonoros, visuales, vía telefónica, Internet o cualquier otra
tecnología o medio.
Obtención del consentimiento cuando los datos se recaben indirectamente del Titular
Artículo 21. Cuando el Responsable recabe Datos Personales indirectamente del Titular y se
requiera de su consentimiento conforme al artículo 24 de la presente Ley, éste no podrá tratar
los Datos Personales hasta que cuente con la manifestación de la voluntad libre, específica e
informada del titular, mediante la cual autoriza el tratamiento de los mismos, ya sea tácita o
expresa, según corresponda.
Se considerará que el consentimiento expreso se otorgó por escrito cuando el titular lo externe
mediante un documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo
autorizado por la normatividad aplicable. En el entorno digital, podrán utilizarse medios como la
firma electrónica o cualquier mecanismo o procedimiento equivalente que permita identificar
fehacientemente al titular, y a su vez, recabar su consentimiento de tal manera que se acredite la
obtención del mismo.
Principio de consentimiento
Artículo 24. El Responsable no estará obligado a recabar el consentimiento del Titular para el
tratamiento de sus Datos Personales en los siguientes casos:
I. Cuando una ley así lo disponga, debiendo dichos supuestos ser acordes con las bases,
principios y disposiciones establecidos en esta Ley; en ningún caso podrán contravenirla:
II. Cuando exista una orden judicial, resolución o mandato fundado y motivado de autoridad
competente;
III. Para el reconocimiento o defensa de derechos del Titular ante autoridad competente;
19
IV. Cuando los Datos Personales se requieran para ejercer un derecho o cumplir
obligaciones derivadas de una relación jurídica entre el Titular y el Responsable;
VI. Cuando los Datos Personales sean necesarios para efectuar un tratamiento para la
prevención, diagnóstico o la prestación de asistencia sanitaria;
IX. Cuando el Titular de los Datos Personales sea una persona reportada como
desaparecida en los términos de la ley en la materia.
Se presume que se cumple con la calidad en los Datos Personales cuando éstos son
proporcionados directamente por el Titular y hasta que éste no manifieste y acredite lo contrario.
Cuando los Datos Personales fueron obtenidos indirectamente del titular, el responsable deberá
adoptar medidas razonables para que éstos respondan al principio de calidad, de acuerdo con la
categoría de Datos Personales y las condiciones y medios del tratamiento.
Cuando los Datos Personales hayan dejado de ser necesarios para el cumplimiento de las
finalidades previstas en el Aviso de Privacidad y que motivaron su tratamiento conforme a las
disposiciones que resulten aplicables, deberán ser suprimidos, previo bloqueo en su caso, y una
vez que concluya el plazo de conservación de los mismos.
Los plazos de conservación de los Datos Personales no deberán exceder aquéllos que sean
necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y deberán
atender a las disposiciones aplicables en la materia de que se trate y considerar los aspectos
administrativos, contables, fiscales, jurídicos e históricos de los Datos Personales.
20
los cuales se incluyan los periodos de conservación de los mismos, de conformidad con lo
dispuesto en el artículo anterior.
El responsable procurará realizar esfuerzos razonables para tratar los Datos Personales al
mínimo necesario, con relación a las finalidades que motivan su tratamiento.
Por regla general, el Aviso de Privacidad deberá ser difundido por los medios electrónicos y
físicos con que cuente el Responsable.
Para que el Aviso de Privacidad cumpla de manera eficiente con su función de informar, deberá
estar redactado y estructurado de manera clara y sencilla.
Cuando resulte imposible dar a conocer al Titular el Aviso de Privacidad, de manera directa o
ello exija esfuerzos desproporcionados, el Responsable podrá instrumentar Medidas
Compensatorias de acuerdo con los criterios que para tal efecto emita el Sistema Nacional de
Transparencia, Acceso a la Información Pública y Protección de Datos Personales.
21
II. Incluir textos o formatos que induzcan al titular a elegir una opción en específico;
III. Marcar previamente casillas, en caso de que éstas se incluyan para que el titular otorgue
su consentimiento, y
II. Las finalidades del tratamiento para las cuales se obtienen los Datos Personales,
distinguiendo aquéllas que requieran el consentimiento del Titular;
IV. Los mecanismos y medios disponibles para que el Titular, en su caso, pueda manifestar
su negativa para el tratamiento de sus Datos Personales para finalidades y transferencias de
Datos Personales que requieren el consentimiento del Titular; y
La puesta a disposición del Aviso de Privacidad al que refiere este artículo no exime al
Responsable de su obligación de proveer los mecanismos para que el Titular pueda conocer el
contenido del Aviso de Privacidad al que refiere el artículo siguiente.
Los mecanismos y medios a los que refiere la fracción IV de este artículo, deberán estar
disponibles para que el Titular pueda manifestar su negativa al tratamiento de sus Datos
Personales para las finalidades o transferencias que requieran el consentimiento del Titular,
previo a que ocurra dicho tratamiento.
22
Artículo 32. El Aviso de Privacidad integral, además de lo dispuesto en las fracciones del
artículo anterior, deberá contener, al menos, la siguiente información:
II. Los Datos Personales que serán sometidos a tratamiento, identificando aquéllos que son
sensibles;
III. El fundamento legal que faculta expresamente al Responsable para llevar a cabo:
IV. Las finalidades del tratamiento para las cuales se obtienen los Datos Personales,
distinguiendo aquéllas que requieren el consentimiento del Titular;
V. Los mecanismos, medios y procedimientos disponibles para ejercer los Derechos ARCO
o de portabilidad de los Datos Personales;
VII. Los medios a través de los cuales el Responsable comunicará a los Titulares los
cambios al Aviso de Privacidad.
I. Cuando los Datos Personales se obtienen de manera directa del titular previo a la
obtención de los mismos; y
II. Cuando los Datos Personales se obtienen de manera indirecta del titular previo al uso o
aprovechamiento de éstos.
Principio de responsabilidad
Artículo 34. El Responsable deberá implementar los mecanismos previstos en el artículo 35 de
la presente Ley para acreditar el cumplimiento de los principios, deberes y obligaciones
establecidos en la presente Ley y rendir cuentas sobre el tratamiento de Datos Personales en su
23
posesión al Titular y al Instituto, para lo cual deberá observar la Constitución Política Federal, la
Constitución Local y los Tratados Internacionales en los que el Estado mexicano sea parte; en lo
que no se contraponga con la normatividad mexicana podrá valerse de estándares o mejores
prácticas nacionales o internacionales para tales fines.
III. Poner en práctica un programa de capacitación y actualización del personal sobre las
obligaciones y demás deberes en materia de protección de Datos Personales;
IV. Revisar periódicamente las políticas y programas de seguridad de Datos Personales para
determinar las modificaciones que se requieran;
VI. Establecer procedimientos para recibir y responder dudas y quejas de los Titulares;
VII. Diseñar, desarrollar e implementar sus políticas públicas, programas, servicios, sistemas
o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que
implique el tratamiento de Datos Personales, de conformidad con las disposiciones previstas
en la presente Ley y las demás que resulten aplicables en la materia; y
VIII. Garantizar que sus políticas públicas, programas, servicios, sistemas o plataformas
informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el
tratamiento de Datos Personales, cumplan por defecto con las obligaciones previstas en la
presente Ley y las demás que resulten aplicables en la materia.
Capítulo II
De los Deberes
Deber de seguridad
Artículo 36. Con independencia del tipo de sistema en el que se encuentren los Datos
Personales o el tipo de tratamiento que se efectúe, el Responsable deberá establecer y
mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección
24
de los Datos Personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción
o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad
y disponibilidad.
VIII. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los Datos
Personales tratados para una tercera persona no autorizada para su posesión.
I. Crear políticas internas para la gestión y tratamiento de los Datos Personales, que tomen
en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de los Datos
Personales, es decir, su obtención, uso y posterior supresión;
II. Definir las funciones y obligaciones del personal involucrado en el tratamiento de Datos
Personales;
IV. Realizar un análisis de riesgo de los Datos Personales, considerando las amenazas y
vulnerabilidades existentes para los Datos Personales y los recursos involucrados en su
tratamiento, como pueden ser, de manera enunciativa más no limitativa, hardware, software,
personal del responsable, entre otros;
25
V. Realizar un análisis de brecha, comparando las medidas de seguridad existentes contra
las faltantes en la organización del Responsable;
VII. Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así
como las amenazas y vulneraciones a las que están sujetos los Datos Personales; y
VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando,
dependiendo de sus roles y responsabilidades respecto del tratamiento de los Datos
Personales.
II. Las funciones y obligaciones de las personas que traten Datos Personales;
V. El plan de trabajo;
II. Como resultado de un proceso de mejora continua, derivado del monitoreo y revisión del
sistema de gestión;
III. Como resultado de un proceso de mejora para mitigar el impacto de una vulneración a la
seguridad ocurrida; e
Vulneraciones de seguridad
Artículo 43. Además de las que señalen las leyes respectivas y la normatividad aplicable, se
considerarán como vulneraciones de seguridad, en cualquier fase del tratamiento de Datos
Personales, al menos, las siguientes:
III. Las recomendaciones al Titular acerca de las medidas que éste pueda adoptar para
proteger sus intereses;
Deber de confidencialidad
Artículo 48. El Responsable deberá establecer controles o mecanismos que tengan por objeto
que todas aquellas personas que intervengan en cualquier fase del tratamiento de los Datos
Personales, guarden confidencialidad respecto de éstos, obligación que subsistirá aún después
de finalizar sus relaciones con el mismo.
TÍTULO TERCERO
Derechos de los titulares y su ejercicio
Capítulo I
De los derechos de acceso, rectificación, cancelación y oposición
Derechos ARCO
Artículo 49. En todo momento el Titular o su representante podrán solicitar al Responsable, el
acceso, rectificación, cancelación u oposición al tratamiento de los Datos Personales o de
portabilidad de los Datos Personales que le conciernen, de conformidad con lo establecido en el
presente Título. El ejercicio de cualquiera de los Derechos ARCO no es requisito previo, ni
impide el ejercicio de otro.
Derecho de acceso
28
Artículo 50. El Titular tendrá derecho de acceder a sus Datos Personales que obren en
posesión del Responsable, así como conocer la información relacionada con las condiciones y
generalidades de su tratamiento.
Derecho de rectificación
Artículo 51. El Titular tendrá derecho a solicitar al Responsable la rectificación o corrección de
sus Datos Personales, cuando éstos resulten ser inexactos, incompletos o no se encuentren
actualizados.
Derecho de cancelación
Artículo 52. El Titular tendrá derecho a solicitar la cancelación de sus Datos Personales de los
archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén
en su posesión y dejen de ser tratados por este último.
Derecho de oposición
Artículo 53. El Titular podrá oponerse al tratamiento de sus Datos Personales o exigir que se
cese en el mismo, cuando:
I. Aun siendo lícito el tratamiento, debe cesar para evitar que su persistencia cause un daño
o perjuicio al Titular; y
II. Sus Datos Personales sean objeto de un tratamiento automatizado, el cual le produzca
efectos jurídicos no deseados o afecte de manera significativa sus intereses, derechos o
libertades, y estén destinados a evaluar, sin intervención humana, determinados aspectos
personales del mismo o analizar o predecir, en particular, su rendimiento profesional,
situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.
Capítulo II
Del ejercicio de los derechos de acceso, rectificación, cancelación y oposición
Generales
Artículo 54. La recepción y trámite de las solicitudes para el ejercicio de los Derechos ARCO o
de portabilidad de los Datos Personales que se formulen a los Responsables, se sujetará al
procedimiento establecido en el presente Título y demás disposiciones que resulten aplicables
en la materia.
29
El ejercicio de los Derechos por persona distinta a su Titular o a su representante, será posible,
excepcionalmente, en aquellos supuestos previstos por disposición legal, o en su caso, por
mandato judicial.
a) Identificación oficial;
b) Instrumentos electrónicos o mecanismos de autenticación permitidos por otras
disposiciones legales o reglamentarias que permitan su identificación
fehacientemente, o
c) Aquellos mecanismos establecidos por el responsable de manera previa, siempre y
cuando permitan de forma inequívoca la acreditación de la identidad del titular.
II. Cuando el titular ejerza sus derechos ARCO o de portabilidad de los Datos Personales a
través de su representante, éste deberá acreditar su identidad y personalidad
presentando ante el responsable:
Para efectos de acceso a Datos Personales, las leyes que establezcan los costos de
reproducción y certificación deberán considerar en su determinación que los montos permitan o
faciliten el ejercicio de este derecho.
30
Cuando el Titular proporcione el medio magnético, electrónico o el mecanismo necesario para
reproducir los Datos Personales, los mismos deberán ser entregados sin costo a éste.
La información deberá ser entregada sin costo, cuando implique la entrega de no más de veinte
hojas simples. Las Unidades de Transparencia podrán exceptuar el pago de reproducción y
envío atendiendo a las circunstancias socioeconómicas del Titular.
El responsable no podrá establecer para la presentación de las solicitudes del ejercicio de los
Derechos ARCO o de portabilidad de los Datos Personales algún servicio o medio que implique
un costo al Titular.
Plazos de respuesta
Artículo 58. El responsable deberá establecer procedimientos sencillos que permitan el ejercicio
de los derechos ARCO o de portabilidad de los Datos Personales, cuyo plazo de respuesta no
deberá exceder de veinte días contados a partir del día siguiente a la recepción de la solicitud.
El plazo referido en el párrafo anterior podrá ser ampliado por una sola vez hasta por diez días
cuando así lo justifiquen las circunstancias, y siempre y cuando se le notifique al Titular dentro
del plazo de respuesta.
I. El nombre del Titular y su domicilio o cualquier otro medio para recibir notificaciones;
II. Los documentos que acrediten la identidad del Titular y, en su caso, la personalidad e
identidad de su representante;
III. La descripción clara y precisa de los Datos Personales respecto de los que se busca
ejercer alguno de los Derechos ARCO o de portabilidad de los Datos Personales, salvo que
se trate del derecho de acceso;
IV. La descripción del Derecho ARCO que se pretende ejercer, o bien, lo que solicita el
Titular; y
V. Cualquier otro elemento o documento que facilite la localización de los Datos Personales,
en su caso.
31
Tratándose de una solicitud de acceso a Datos Personales, el Titular deberá señalar la
modalidad en la que prefiere que éstos se reproduzcan. El Responsable deberá atender la
solicitud en la modalidad requerida por el Titular, salvo que exista una imposibilidad física o
jurídica que lo limite a reproducir los Datos Personales en dicha modalidad, en este caso deberá
ofrecer otras modalidades de entrega de los Datos Personales fundando y motivando dicha
actuación.
En caso de que la solicitud para el ejercicio de los derechos ARCO o de portabilidad de los
Datos Personales no satisfaga alguno de los requisitos a que se refiere este artículo, y el
Instituto no cuente con elementos para subsanarla, se prevendrá al Titular de los datos dentro de
los cinco días siguientes a la presentación de la solicitud de ejercicio de los Derechos ARCO o
de portabilidad de los Datos Personales, por una sola ocasión, para que subsane las omisiones
dentro de un plazo de diez días contados a partir del día siguiente al de la notificación.
La prevención tendrá el efecto de interrumpir el plazo que tiene el Responsable para resolver la
solicitud para el ejercicio de los derechos ARCO o de portabilidad de los Datos Personales, por
lo que comenzará a computarse al día siguiente del desahogo por parte del titular.
Con relación a una solicitud de cancelación, el Titular deberá señalar las causas que lo motiven
a solicitar la supresión de sus Datos Personales en los archivos, registros o bases de datos del
Responsable.
Las solicitudes para el ejercicio de los Derechos ARCO o de portabilidad de los Datos
Personales, deberán presentarse ante la Unidad de Transparencia del Responsable, que el
Titular considere competente, a través de escrito libre, formatos, medios electrónicos o cualquier
otro medio que al efecto establezca el Instituto.
El Responsable deberá dar trámite a toda solicitud para el ejercicio de los Derechos ARCO o de
portabilidad de los Datos Personales y entregar el acuse de recibo que corresponda.
El Instituto podrá establecer formularios, sistemas y otros métodos simplificados para facilitar a
los Titulares el ejercicio de los Derechos ARCO o de portabilidad de los Datos Personales.
Los medios y procedimientos habilitados por el Responsable para atender las solicitudes para el
ejercicio de los Derechos ARCO o de portabilidad de los Datos Personales deberán ser de fácil
32
acceso y con la mayor cobertura posible considerando el perfil de los Titulares y la forma en que
mantienen contacto cotidiano o común con el Responsable.
En caso de que el Responsable declare inexistencia de los Datos Personales en sus archivos,
registros, sistemas o expediente, dicha declaración deberá constar en una resolución del Comité
dé Transparencia que confirme la inexistencia de los Datos Personales.
En caso de que el Responsable advierta que la solicitud para el ejercicio de los Derechos ARCO
o de portabilidad de los Datos Personales, corresponda a un derecho diferente de los previstos
en la presente Ley, deberá reconducir la vía haciéndolo del conocimiento al Titular dentro de los
tres días siguientes a la presentación de la solicitud.
Trámites específicos
Artículo 61. Cuando las disposiciones aplicables a determinados tratamientos de Datos
Personales establezcan un trámite o procedimiento específico para solicitar el ejercicio de los
Derechos ARCO o de portabilidad de los Datos Personales, el Responsable deberá informar al
Titular sobre la existencia del mismo, en un plazo no mayor a cinco días siguientes a la
presentación de la solicitud para el ejercicio de los Derechos ARCO o de portabilidad de los
Datos Personales, a efecto de que este último decida si ejerce sus derechos a través del trámite
específico, o bien, por medio del procedimiento que el Responsable haya institucionalizado para
la atención de solicitudes para el ejercicio de los Derechos ARCO o de portabilidad de los Datos
Personales conforme a las disposiciones establecidas en este Capítulo.
33
V. Cuando se obstaculicen actuaciones judiciales o administrativas;
VI. Cuando exista una resolución de autoridad competente que restrinja el acceso a los
Datos Personales o no permita la rectificación, cancelación u oposición de los mismos;
IX. Cuando sean necesarios para proteger intereses jurídicamente tutelados del Titular; o
X. Cuando sean necesarios para dar cumplimiento a obligaciones legalmente adquiridas por
el Titular.
En todos los casos anteriores, deberá constar una resolución del Comité de Transparencia que
confirme, modifique o revoque la causal de improcedencia invocada por el Responsable, la cual
será informada al Titular por el medio señalado para recibir notificaciones y dentro de los veinte
días a los que se refiere el primer párrafo del artículo 58 de la presente Ley, acompañando en su
caso, las pruebas que resulten pertinentes.
Capítulo III
De la portabilidad de los datos
Generales
Artículo 64. Cuando se traten Datos Personales por vía electrónica en un formato estructurado y
comúnmente utilizado, el Titular tendrá derecho a obtener del Responsable una copia de los
datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que
le permita seguir utilizándolos.
34
Para el ejercicio de este derecho, el responsable deberá considerar los lineamientos del Sistema
Nacional relativos a los supuestos en los que se está en presencia de un formato estructurado y
comúnmente utilizado, así como las normas técnicas, modalidades y procedimientos para la
transferencia de Datos Personales.
TÍTULO CUARTO
Relación del responsable y encargado
Capítulo Único
Responsable y encargado
En el contrato o instrumento jurídico que decida el Responsable se deberá prever, al menos, las
siguientes cláusulas generales relacionadas con los servicios que preste el Encargado:
II. Abstenerse de tratar los Datos Personales para finalidades distintas a las instruidas por el
Responsable;
III. Implementar las medidas de seguridad conforme a los instrumentos jurídicos aplicables;
IV. Informar al Responsable cuando ocurra una vulneración a los Datos Personales que trata
por sus instrucciones;
VI. Suprimir o devolver los Datos Personales objeto de tratamiento una vez cumplida la
relación jurídica con el Responsable, siempre y cuando no exista una previsión legal que
exija la conservación de los Datos Personales;
35
VII. Abstenerse de transferir los Datos Personales salvo en el caso de que el Responsable
así lo determine, o la comunicación derive de una subcontratación, o por mandato expreso
de la autoridad competente;
Subcontratación de servicios
Artículo 68. El Encargado podrá, a su vez, subcontratar servicios que impliquen el tratamiento
de Datos Personales por cuenta del Responsable, siempre y cuando medie la autorización
expresa de este último. El subcontratado asumirá el carácter de Encargado en los términos de la
presente Ley y demás disposiciones que resulten aplicables en la materia.
36
En su caso, el Responsable deberá delimitar el tratamiento de los Datos Personales por parte
del proveedor externo a través de cláusulas contractuales u otros instrumentos jurídicos.
d) Guardar confidencialidad respecto de los Datos Personales sobre los que se preste el
servicio; y
a) Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que
presta;
b) Permitir al Responsable limitar el tipo de tratamiento de los Datos Personales sobre los
que se presta el servicio;
d) Garantizar la supresión de los Datos Personales una vez que haya concluido el servicio
prestado al Responsable y que este último haya podido recuperarlos; y
e) Impedir el acceso a los Datos Personales a personas que no cuenten con privilegios de
acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad
competente, informar de ese hecho al Responsable.
37
Protección de Datos Personales en Posesión de Sujetos Obligados y demás disposiciones que
resulten aplicables en la materia.
TÍTULO QUINTO
Comunicaciones de Datos Personales
Capítulo Único
De las transferencias y remisiones de Datos Personales
II. Cuando la transferencia sea internacional y se encuentre prevista en una ley o tratado
suscrito y ratificado por México, o bien, se realice a petición de una autoridad extranjera u
organismo internacional competente en su carácter de receptor, siempre y cuando las
facultades entre el Responsable transferente y receptor sean homólogas, o bien, las
finalidades que motivan la transferencia sean análogas o compatibles respecto de aquéllas
que dieron origen al tratamiento del Responsable transferente.
I. Cuando la transferencia esté prevista en esta Ley, la Ley General para la Protección de
Datos Personales en Posesión de Sujetos Obligados u otras leyes, convenios o Tratados
Internacionales suscritos y ratificados por México;
II. Cuando la transferencia se realice entre Responsables, siempre y cuando los Datos
Personales se utilicen para el ejercicio de facultades propias, compatibles o análogas con la
finalidad que motivó el tratamiento de los Datos Personales;
III. Cuando la transferencia sea legalmente exigida para la investigación y persecución de los
delitos, así como la procuración o administración de justicia;
VII. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar
en interés del Titular, por el Responsable y un tercero; o
VIII. Cuando la transferencia sea necesaria por razones de seguridad nacional, en términos
de la normatividad aplicable.
TÍTULO SEXTO
Acciones preventivas en materia de protección de Datos Personales
Capítulo I
De las mejores prácticas
III. Facilitar el ejercicio de los Derechos ARCO por parte de los titulares;
I. Cumplir con los parámetros que para tal efecto emita el Instituto conforme a los criterios
que fije el Instituto Nacional; y
II. Ser notificado ante el Instituto de conformidad con el procedimiento establecido en los
parámetros señalados en la fracción anterior, a fin de que sean evaluados y, en su caso,
validados o reconocidos e inscritos en el registro al que refiere el siguiente párrafo del
presente artículo.
40
El Instituto deberá emitir las reglas de operación del registro en el que se inscribirán aquellos
esquemas de mejores prácticas validados o reconocidos.
El plazo para la emisión de las recomendaciones a que se refiere el párrafo anterior será dentro
de los treinta días siguientes contados a partir del día siguiente a la presentación de la
evaluación.
41
emergencia o urgencia, no será necesario realizar la Evaluación de impacto en la protección de
Datos Personales.
Capítulo II
De las bases de datos en posesión de instancias de seguridad, procuración y
administración de justicia
Las autoridades que accedan y almacenen los Datos Personales que se recaben por los
particulares en cumplimiento de las disposiciones legales correspondientes, deberán cumplir con
las disposiciones señaladas en el presente Capítulo.
TÍTULO SÉPTIMO
Responsables en materia de protección de Datos Personales en posesión de los sujetos
obligados
Capítulo I
Del Comité de Transparencia
42
Pública del Estado de Tabasco, tendrá además en materia de Datos Personales, las funciones
siguientes:
III. Confirmar, modificar o revocar las determinaciones en las que se declare la inexistencia
de los Datos Personales, o se niegue por cualquier causa el ejercicio de alguno de los
Derechos ARCO o de portabilidad de los Datos Personales;
IV. Establecer y supervisar la aplicación de criterios específicos que resulten necesarios para
una mejor observancia de la presente Ley y en aquellas disposiciones que resulten
aplicables en la materia;
VI. Dar seguimiento y cumplimiento a las resoluciones emitidas por el Instituto Nacional y/o
el Instituto, según corresponda;
VIII. Suscribir las declaraciones de inexistencia de los Datos Personales o la negativa por
cualquier causa el ejercicio de alguno de los Derechos ARCO o de portabilidad de los Datos
Personales; y
IX. Dar vista al órgano interno de control o instancia equivalente en aquellos casos en que
tenga conocimiento, en el ejercicio de sus atribuciones, de una presunta irregularidad
respecto de determinado tratamiento de Datos Personales; particularmente en casos
relacionados con la declaración de inexistencia que realicen los responsables.
Capítulo II
De la Unidad de Transparencia
43
Designación y atribuciones de la Unidad de Transparencia
Artículo 90. La Unidad de Transparencia que se integra y funciona al interior de cada
Responsable, conforme a lo dispuesto en la Ley de Transparencia y Acceso a la Información
Pública del Estado de Tabasco, tendrá además, las siguientes funciones:
I. Auxiliar y orientar al Titular que lo requiera con relación al ejercicio del derecho a la
protección de Datos Personales;
II. Gestionar las solicitudes para el ejercicio de los Derechos ARCO o de portabilidad de los
Datos Personales;
III. Establecer mecanismos para asegurar que los Datos Personales sólo se entreguen a su
Titular o su representante debidamente acreditados;
IV. Informar al Titular o su representante el monto de los costos a cubrir por la reproducción
y envío de los Datos Personales, con base en lo establecido en las disposiciones aplicables;
VI. Aplicar instrumentos de evaluación de calidad sobre la gestión de las solicitudes para el
ejercicio de los Derechos ARCO o de portabilidad de los Datos Personales; y
Los Responsables que en el ejercicio de sus funciones sustantivas lleven a cabo tratamientos de
Datos Personales relevantes o intensivos, podrán designar a un oficial de protección de Datos
Personales, especializado en la materia, el cual realizará las atribuciones mencionadas en este
artículo y formará parte de la Unidad de Transparencia.
Los sujetos obligados promoverán acuerdos con instituciones públicas especializadas que
pudieran auxiliarles a la recepción, trámite y entrega de las respuestas a solicitudes de
información, en la lengua indígena, braille o cualquier formato accesible correspondiente, en
forma más eficiente.
44
Negativa de colaboración con la Unidad de Transparencia
Artículo 92. Cuando alguna unidad administrativa del responsable se negara a colaborar con la
Unidad de Transparencia en la atención de las solicitudes para el ejercicio de los derechos
ARCO, ésta dará aviso al Comité de Transparencia para que le ordene realizar sin demora las
acciones conducentes.
Capítulo III
Del Oficial de Protección de Datos Personales
Designación
Artículo 93. Para aquellos responsables que en el ejercicio de sus funciones sustantivas lleven
a cabo tratamientos relevantes o intensivos de Datos Personales, podrán designar a un Oficial
de Protección de Datos Personales, el cual formará parte de la Unidad de Transparencia.
La persona designada como Oficial de Protección de Datos Personales deberá contar con la
jerarquía o posición dentro de la organización del responsable, así como con recursos
suficientes que le permita implementar políticas transversales en esta materia.
III. Implementar políticas, programas, acciones y demás actividades que correspondan para
el cumplimiento de la presente Ley y demás disposiciones que resulten aplicables en la
materia, previa autorización del Comité de Transparencia;
TÍTULO OCTAVO
Del Instituto
Capítulo I
De las atribuciones en materia de protección de Datos Personales
II. Interpretar la presente Ley y demás disposiciones que deriven de ésta, en el ámbito
administrativo;
IV. Conocer, sustanciar y resolver, los recursos de revisión interpuestos por los titulares,
en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten
aplicables en la materia;
VI. Presentar petición fundada al Instituto Nacional, para que conozca de los recursos de
revisión que por su interés y trascendencia así lo ameriten, en términos de lo previsto en
la Ley General para la Protección de Datos Personales en Posesión de Sujetos Obligados
y demás disposiciones que resulten aplicables en la materia;
46
X. Diseñar y aprobar los formatos de solicitudes para el ejercicio de los derechos ARCO;
XI. Coordinarse con las autoridades competentes para que las solicitudes para el ejercicio
de los derechos ARCO y los recursos de revisión que se presenten en lenguas indígenas,
sean atendidos en la misma lengua;
XVIII. Proporcionar al Instituto Nacional los elementos que requiera para resolver los
recursos de inconformidad que le sean presentados, en términos de lo previsto en el
Título Noveno, Capítulo II de la Ley General para la Protección de Datos Personales en
Posesión de Sujetos Obligados y demás disposiciones que resulten aplicables en la
materia;
XXI. Llevar a cabo acciones y actividades que promuevan el conocimiento del derecho a
la protección de Datos Personales, así como de sus prerrogativas;
47
XXII. Aplicar indicadores y criterios para evaluar el desempeño de los responsables
respecto del cumplimiento de la presente Ley y demás disposiciones que resulten
aplicables;
XXIV. Solicitar la cooperación del Instituto Nacional en los términos del artículo 89,
fracción XXX, de la Ley General para la Protección de Datos Personales en Posesión de
Sujetos Obligados;
Capítulo II
De la coordinación y promoción del derecho a la protección de Datos Personales
I. Promover que en los programas y planes de estudio, libros y materiales que se utilicen en
las instituciones educativas de todos los niveles y modalidades del Estado, se incluyan
contenidos sobre el derecho a la protección de Datos Personales, así como una cultura
sobre el ejercicio y respeto de éste;
48
II. Impulsar en conjunto con instituciones de educación superior, la integración de centros de
investigación, difusión y docencia sobre el derecho a la protección de Datos Personales que
promuevan el conocimiento sobre este tema y coadyuven con el Instituto Nacional en sus
tareas sustantivas; y
TÍTULO NOVENO
De los procedimientos de impugnación en materia de protección de Datos Personales en
posesión de sujetos obligados
Capítulo I
Disposiciones comunes a los recursos de revisión y recursos de inconformidad
Medios de presentación
Artículo 99. El Titular o su representante podrá interponer un recurso de revisión o un recurso
de inconformidad ante el Instituto Nacional o ante el Instituto, según corresponda, o bien, ante la
Unidad de Transparencia, a través de los siguientes medios:
I. Por escrito libre en el domicilio del Instituto Nacional o del Instituto, según corresponda, o
en las oficinas habilitadas que al efecto establezcan;
IV. Por los medios electrónicos que para tal fin se autoricen; o
Se presumirá que el Titular acepta que las notificaciones le sean efectuadas por el mismo
conducto que presentó su escrito, salvo que acredite haber señalado uno distinto para recibir
notificaciones.
I. Identificación oficial;
49
III. Mecanismos de autenticación autorizados por el Instituto, mediante acuerdos generales
publicados en el Periódico Oficial del Estado.
I. Si se trata de una persona física, a través de carta poder simple suscrita ante dos testigos
anexando copia de las identificaciones de los suscriptores, o instrumento público, o
declaración en comparecencia personal del Titular y del representante ante el Instituto
Nacional o el Instituto, según corresponda; o
Notificaciones
Artículo 103. En la sustanciación de los recursos de revisión y recursos de inconformidad, las
notificaciones que emita el Instituto, surtirán efectos el mismo día en que se practiquen.
Las notificaciones podrán efectuarse:
II. Por correo certificado con acuse de recibo o medios digitales o sistemas autorizados por
el Instituto publicados mediante acuerdo general en el Periódico Oficial del Estado, cuando
se trate de requerimientos, emplazamientos, solicitudes de informes o documentos y
resoluciones que puedan ser impugnadas;
III. Por correo postal ordinario o por correo electrónico ordinario cuando se trate de actos
distintos de los señalados en las fracciones anteriores; o
50
IV. Por estrados, cuando la persona a quien deba notificarse no sea localizable en su
domicilio, se ignore éste o el de su representante.
Cómputo de plazos
Artículo 104. El cómputo de los plazos señalados en el presente Título comenzará a correr a
partir del día siguiente a aquél en que haya surtido efectos la notificación correspondiente.
Concluidos los plazos fijados a las partes, se tendrá por perdido el derecho que dentro de ellos
debió ejercitarse, sin necesidad de acuse de rebeldía por parte del Instituto.
Pruebas
Artículo 107. En la sustanciación de los recursos de revisión o recursos de inconformidad, las
partes podrán ofrecer las siguientes pruebas:
I. La documental pública;
III. La inspección;
IV. La pericial;
V. La testimonial;
VII. Las imágenes fotográficas, páginas electrónicas, escritos y demás elementos aportados
por la ciencia y tecnología; y
51
El Instituto podrá allegarse de los medios de prueba que considere necesarios, sin más
limitaciones que las establecidas en la ley.
Capítulo II
Del recurso de revisión ante el Instituto
Transcurrido el plazo previsto para dar respuesta a una solicitud para el ejercicio de los
Derechos ARCO o de portabilidad de los Datos Personales, sin que se haya emitido ésta, el
Titular o, en su caso, su representante podrá interponer el recurso de revisión dentro de los
quince días siguientes al que haya vencido el plazo para dar respuesta.
I. Se clasifiquen como confidenciales los Datos Personales sin que se cumplan las
características señaladas en las leyes que resulten aplicables;
52
IX. El Titular se inconforme con los costos de reproducción, envío o tiempos de entrega de
los Datos Personales;
XI. No se dé trámite a una solicitud para el ejercicio de los Derechos ARCO o de portabilidad
de los Datos Personales; y
II. El nombre del Titular que recurre o su representante y, en su caso, del tercero interesado,
así como el domicilio o medio que señale para recibir notificaciones;
III. La fecha en que fue notificada la respuesta al Titular, o bien, en caso de falta de
respuesta, la fecha de la presentación de la solicitud para el ejercicio de los Derechos ARCO
o de portabilidad de los Datos Personales;
IV. El acto que se recurre y los puntos petitorios, así como las razones o motivos de
inconformidad;
VI. Los documentos que acrediten la identidad del Titular, y en su caso, la personalidad e
identidad de su representante.
Al recurso de revisión se podrán acompañar las pruebas y demás elementos que considere el
Titular procedentes someter a juicio del Instituto.
En ningún caso será necesario que el Titular ratifique el recurso de revisión interpuesto.
Conciliación
Artículo 111. Una vez admitido el recurso de revisión, el Instituto podrá buscar una conciliación
entre el Titular y el Responsable.
53
De llegar a un acuerdo, éste se hará constar por escrito y tendrá efectos vinculantes. El recurso
de revisión quedará sin materia y el Instituto deberá verificar el cumplimiento del acuerdo
respectivo.
I. El Instituto requerirá a las partes que manifiesten, por cualquier medio, su voluntad de
conciliar, en un plazo no mayor a siete días, contados a partir de la notificación de dicho
acuerdo, mismo que contendrá un resumen del recurso de revisión y de la respuesta del
Responsable si la hubiere, señalando los elementos comunes y los puntos de controversia.
II. Aceptada la posibilidad de conciliar por ambas partes, el Instituto señalará el lugar o
medio, día y hora para la celebración de una audiencia de conciliación, la cual deberá
realizarse dentro de los diez días siguientes al en que el Instituto haya recibido la
manifestación de la voluntad de conciliar de ambas partes, en la que se procurará avenir los
intereses entre el Titular y el Responsable.
El conciliador podrá, en todo momento en la etapa de conciliación, requerir a las partes que
presenten en un plazo máximo de cinco días, los elementos de convicción que estime
necesarios para la conciliación.
54
III. Si alguna de las partes no acude a la audiencia de conciliación y justifica su ausencia en
un plazo de tres días, será convocado a una segunda audiencia de conciliación, en el plazo
de cinco días; en caso de que no acuda a esta última, se continuará con el recurso de
revisión. Cuando alguna de las partes no acuda a la audiencia de conciliación sin
justificación alguna, se continuará con el procedimiento;
V. De llegar a un acuerdo, éste se hará constar por escrito y tendrá efectos vinculantes. El
recurso de revisión quedará sin materia y el Instituto deberá verificar el cumplimiento del
acuerdo respectivo; y
VI. El cumplimiento del acuerdo dará por concluida la sustanciación del recurso de revisión;
en caso contrario, el Instituto reanudará el procedimiento.
El plazo al que se refiere el artículo 113 de la presente Ley será suspendido durante el
periodo de cumplimiento del acuerdo de conciliación.
Suplencia de la queja
Artículo 114. Durante el procedimiento a que se refiere el presente Capítulo, el Instituto deberá
aplicar la suplencia de la queja a favor del Titular, siempre y cuando no altere el contenido
original del recurso de revisión, ni modifique los hechos o peticiones expuestos en el mismo, así
como garantizar que las partes puedan presentar los argumentos y constancias que funden y
motiven sus pretensiones.
El Titular contará con un plazo que no podrá exceder de cinco días, contados a partir del día
siguiente al de la notificación de la prevención, para subsanar las omisiones, con el
apercibimiento de que en caso de no cumplir con el requerimiento, se desechará el recurso de
revisión.
La prevención tendrá el efecto de interrumpir el plazo que tiene el Instituto para resolver el
recurso, por lo que comenzará a computarse a partir del día siguiente al de su desahogo.
55
Resolución del recurso de revisión, falta de respuesta y probable responsabilidad
administrativa
Artículo 116. Las resoluciones del Instituto podrán:
IV. Ordenar la entrega de los Datos Personales, en caso de omisión del Responsable.
Las resoluciones establecerán, en su caso, los plazos y términos para su cumplimiento y los
procedimientos para asegurar su ejecución. Los Responsables deberán informar al Instituto el
cumplimiento de sus resoluciones.
Ante la falta de resolución por parte del Instituto se entenderá confirmada la respuesta del
Responsable.
Cuando el Instituto determine durante la sustanciación del recurso de revisión que se pudo haber
incurrido en una probable responsabilidad por el incumplimiento a las obligaciones previstas en
la presente Ley y demás disposiciones que resulten aplicables en la materia, deberán hacerlo
del conocimiento del órgano interno de control o de la instancia competente para que ésta inicie,
en su caso, el procedimiento de responsabilidad respectivo.
III. El Instituto haya resuelto anteriormente en definitiva sobre la materia del mismo;
IV. No se actualice alguna de las causales del recurso de revisión previstas en el artículo
109 de la presente Ley;
V. Se esté tramitando ante los tribunales competentes algún recurso o medio de defensa
interpuesto por el recurrente, o en su caso, por el tercero interesado, en contra del acto
recurrido ante el Instituto;
56
VI. El recurrente modifique o amplíe su petición en el recurso de revisión, únicamente
respecto de los nuevos contenidos; o
El desechamiento no implica la preclusión del derecho del Titular para interponer ante el Instituto
un nuevo recurso de revisión.
Notificación de la resolución
Artículo 119. El Instituto deberá notificar a las partes y publicar las resoluciones, en versión
pública, a más tardar, al tercer día siguiente de su aprobación.
Recurso de particulares
Artículo 121. Tratándose de las resoluciones a los recursos de revisión emitidas por el Instituto,
los particulares podrán optar por acudir ante el Instituto Nacional a través del recurso de
inconformidad previsto en esta Ley; o ante el Poder Judicial de la Federación, mediante el Juicio
de Amparo.
En los casos en que a través del recurso de inconformidad se modifique o revoque la resolución
del Instituto, éste deberá emitir una nueva resolución dentro del plazo de quince días, contados a
partir del día siguiente de la notificación o que tenga conocimiento de la resolución del Instituto
Nacional, atendiendo los términos señalados en la misma.
Capítulo III
57
Del recurso de inconformidad ante el Instituto Nacional
I. Clasifiquen los Datos Personales sin que se cumplan las características señaladas en las
Leyes que resulten aplicables;
58
Requisitos para la interposición del recurso de inconformidad
Artículo 124. Los únicos requisitos exigibles e indispensables en el escrito de interposición del
recurso de inconformidad son:
I. El Área responsable ante la cual se presentó la solicitud para el ejercicio de los Derechos
ARCO;
III. El nombre del Titular que recurre o de su representante y, en su caso, del tercero
interesado, así como su domicilio o el medio que señale para recibir notificaciones;
V. El acto que se recurre y los puntos petitorios, así como las razones o motivos de
inconformidad;
VII. Los documentos que acrediten la identidad del Titular, y en su caso, la personalidad e
identidad de su representante.
El promovente podrá acompañar su escrito con las pruebas y demás elementos que considere
procedentes someter a juicio del Instituto Nacional.
Del seguimiento
Artículo 125. Corresponderá al Instituto realizar el seguimiento y vigilancia del debido
cumplimiento por parte del Responsable de la nueva resolución emitida como consecuencia de
la inconformidad en términos de la Ley General y la presente Ley.
TÍTULO DÉCIMO
De la facultad de verificación del Instituto
Capítulo Único
Del procedimiento de verificación
59
El Responsable no podrá negar el acceso a la documentación solicitada con motivo de una
verificación, o a sus bases de Datos Personales, ni podrá invocar la reserva o la confidencialidad
de la información.
I. De oficio cuando el Instituto cuente con indicios que hagan presumir fundada y motivada la
existencia de violaciones a las leyes correspondientes; o
II. Por denuncia del Titular cuando considere que ha sido afectado por actos del
Responsable que puedan ser contrarios a lo dispuesto por la presente Ley y demás
normatividad aplicable, o en su caso, por cualquier persona cuando tenga conocimiento de
presuntos incumplimientos a las obligaciones previstas en la presente Ley y demás
disposiciones que resulten aplicables en la materia.
El derecho a presentar una denuncia precluye en el término de un año contado a partir del día
siguiente en que se realicen los hechos u omisiones materia de la misma. Cuando los hechos u
omisiones sean de tracto sucesivo, el término empezará a contar a partir del día hábil siguiente
al último hecho realizado.
Previo a la verificación respectiva, el Instituto podrá desarrollar investigaciones previas, con el fin
de contar con elementos para fundar y motivar el acuerdo de inicio respectivo.
III. La relación de hechos en que se basa la denuncia y los elementos con los que cuente
para probar su dicho;
60
V. La firma del denunciante, o en su caso, de su representante. En caso de no saber firmar,
bastará la huella digital.
La denuncia podrá presentarse por escrito libre, o a través de los formatos, medios electrónicos
o cualquier otro medio que al efecto establezca el Instituto.
Una vez recibida la denuncia, el Instituto deberá acusar recibo de la misma. El acuerdo
correspondiente se notificará al denunciante.
II. El objeto y alcance del procedimiento, precisando circunstancias de tiempo, lugar, visitas
de verificación a las oficinas o instalaciones del responsable o del lugar en donde se
encuentren ubicadas las bases de Datos Personales y/o requerimientos de información.
En los casos en que se actúe por denuncia, el Instituto podrá ampliar el objeto y alcances
del procedimiento respecto del contenido de aquélla, debidamente fundada y motivado;
V. La firma autógrafa de la autoridad que lo expida, salvo en aquellos casos en que la ley
autorice otra forma de expedición.
61
I. Requerir al responsable denunciado la documentación e información necesaria vinculada
con la presunta violación; y/o
II. Realizar visitas de verificación a las oficinas o instalaciones del responsable denunciado,
o en su caso, en el lugar donde se lleven a cabo los tratamientos de Datos Personales.
Lo anterior, a fin de allegarse de los elementos relacionados con el objeto y alcance de éste.
Visitas de verificación
Artículo 135. Las visitas de verificación que lleve a cabo el Instituto podrán ser una o varias en
el curso de un mismo procedimiento, las cuales se deberán desarrollar conforme a las siguientes
reglas y requisitos:
62
d) El nombre completo de la persona o personas autorizadas a realizar la visita de
verificación, las cuales podrán ser sustituidas, aumentadas o reducidas en su número
en cualquier tiempo por el Instituto, situación que se notificará al responsable sujeto a
procedimiento, y
III. Las visitas de verificación se practicarán en días y horas hábiles y se llevarán a cabo en el
domicilio institucional del responsable verificado, incluyendo el lugar en que, a juicio del
Instituto, se encuentren o se presuma la existencia de bases de datos o tratamientos de
los mismos.
El Instituto podrá autorizar que servidores públicos de otras autoridades federales, estatales y
municipales, en el ámbito de sus respectivas competencias, auxilien en cuestiones técnicas o
específicas para el desahogo de la misma.
II. Los verificadores autorizados requerirán a la persona con quien se entienda la diligencia
designe a dos testigos;
IV. Los verificadores autorizados podrán obtener copias de los documentos o reproducir, por
cualquier medio, documentos, archivos e información generada por medios electrónicos,
ópticos o de cualquier otra tecnología, que tengan relación con el procedimiento, y
63
V. La persona con quien se hubiese entendido la visita de verificación, tendrá derecho de
hacer observaciones a los verificadores autorizados durante la práctica de las diligencias,
mismas que se harán constar en el acta correspondiente.
Concluida la visita de verificación, los verificadores autorizados deberán levantar un acta final en
la que se deberá hacer constar en forma circunstanciada los hechos u omisiones que hubieren
conocido, la cual, en su caso, podrá engrosarse con actas periciales.
Los hechos u omisiones consignados por los verificadores autorizados en las actas de
verificación harán prueba plena de la existencia de tales hechos o de las omisiones encontradas.
III. Los datos que identifiquen plenamente el lugar en donde se practicó la visita de
verificación, tales como calle, número, población o colonia, municipio o delegación, código
postal y entidad federativa, así como número telefónico u otra forma de comunicación
disponible con el responsable verificado;
VII. El nombre completo y domicilio de las personas que fungieron como testigos;
64
El responsable verificado podrá formular observaciones en la visita de verificación, así como
manifestar lo que a su derecho convenga con relación a los hechos contenidos en el acta
respectiva, o bien, podrá hacerlo por escrito dentro de los cinco días siguientes a la fecha en que
se hubiere realizado la visita de verificación.
Estas medidas sólo podrán tener una finalidad correctiva y será temporal hasta en tanto los
sujetos obligados lleven a cabo las recomendaciones hechas por el Instituto.
Resolución
Artículo 139. El procedimiento de verificación concluirá con la resolución que emita el Instituto,
en la cual se establecerán las medidas que deberá adoptar el Responsable en el plazo que la
misma determine.
Auditorias voluntarias
Artículo 140. Los Responsables podrán voluntariamente someterse a la realización de
auditorías por parte del Instituto, que tengan por objeto verificar la adaptación, adecuación y
eficacia de los controles, medidas y mecanismos implementados para el cumplimiento de las
disposiciones previstas en la presente Ley y demás normatividad que resulte aplicable.
65
TÍTULO DÉCIMO PRIMERO
Medidas de apremio y responsabilidades
Capítulo I
De las medidas de apremio
I. La amonestación pública; o
II. La multa, equivalente a la cantidad de ciento cincuenta hasta mil quinientas veces el valor
diario de la Unidad de Medida y Actualización.
Incumplimiento de resolución
Artículo 143. Si a pesar de la ejecución de las medidas de apremio previstas en el artículo
anterior no se cumpliere con la resolución, se requerirá el cumplimiento al superior jerárquico
para que en el plazo de cinco días lo obligue a cumplir sin demora.
66
Autoridad competente para hacer efectivas las multas
Artículo 145. Las multas que fije el Instituto se harán efectivas ante la Secretaría de Planeación
y Finanzas del Estado, a través del procedimiento de cobro coactivo previsto en el Código Fiscal
del Estado.
I. La gravedad de la falta del Responsable, determinada por elementos tales como el daño
causado; los indicios de intencionalidad; la duración del incumplimiento de las
determinaciones del Instituto y la afectación al ejercicio de sus atribuciones;
III. La reincidencia.
El Instituto establecerá mediante lineamientos de carácter general, las atribuciones de las Áreas
encargadas de calificar la gravedad de la falta de observancia a sus determinaciones y de la
notificación y ejecución de las medidas de apremio que apliquen e implementen, conforme a los
elementos desarrollados en este Capítulo.
Reincidencia
Artículo 147. En caso de reincidencia, el Instituto podrá imponer una multa equivalente hasta el
doble de la que se hubiera determinado.
Se considerará reincidente al que habiendo incurrido en una infracción que haya sido
sancionada, cometa otra del mismo tipo o naturaleza.
Medios de impugnación
Artículo 151. En contra de la imposición de medidas de apremio, procede el recurso
correspondiente ante el Poder Judicial del Estado.
Capítulo II
De las sanciones
Causas de sanción
Artículo 152. Son causas de sanción por incumplimiento de las obligaciones establecidas en
esta Ley, las siguientes:
I. Actuar con negligencia, dolo o mala fe durante la sustanciación de las solicitudes para el
ejercicio de los Derechos ARCO o de portabilidad de los Datos Personales;
II. Incumplir los plazos de atención previstos en la presente Ley para responder las
solicitudes para el ejercicio de los Derechos ARCO o de portabilidad de los Datos
Personales, o para hacer efectivo el derecho de que se trate;
III. Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y
de manera indebida Datos Personales, que se encuentren bajo su custodia o a los cuales
tengan acceso o conocimiento con motivo de su empleo, cargo o comisión;
IV. Dar tratamiento, de manera intencional, a los Datos Personales en contravención a los
principios y deberes establecidos en la presente Ley;
V. No contar con el Aviso de Privacidad, o bien, omitir en el mismo alguno de los elementos
a que refiere el artículo 31 de la presente Ley, según sea el caso, y demás disposiciones que
resulten aplicables en la materia;
VI. Clasificar como confidencial, con dolo o negligencia, Datos Personales sin que se
cumplan las características señaladas en las leyes que resulten aplicables. La sanción sólo
procederá cuando exista una resolución previa, que haya quedado firme, respecto del
criterio de clasificación de los Datos Personales;
VIII. No establecer las medidas de seguridad en los términos que establecen los artículos 36,
37 y 38 de la presente Ley;
XIV. Omitir la entrega del informe anual y demás informes a que se refiere el artículo 48,
fracción XIV de la Ley de Transparencia y Acceso a la Información Pública del Estado de
Tabasco, o bien, entregar el mismo de manera extemporánea.
Las causas de responsabilidad previstas en las fracciones I, II, IV, VI, X, XII y XIV, así como la
reincidencia en las conductas previstas en el resto de las fracciones de este artículo, serán
consideradas como graves para efectos de su sanción administrativa.
En caso de que la presunta infracción hubiere sido cometida por algún integrante de un partido
político, la investigación y, en su caso, sanción, corresponderán a la autoridad electoral.
Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos.
Para tales efectos, el Instituto podrá denunciar ante las autoridades competentes cualquier acto
u omisión violatoria de esta Ley y aportar las pruebas que consideren pertinentes, en los
términos de las leyes aplicables.
La autoridad que conozca del asunto, deberá informar de la conclusión del procedimiento y en
su caso, de la ejecución de la sanción al Instituto.
A efecto de sustanciar el procedimiento citado en este artículo, el Instituto deberá elaborar una
denuncia dirigida a la contraloría, órgano interno de control o equivalente, con la descripción
precisa de los actos u omisiones que, a su consideración, repercuten en la adecuada aplicación
de la presente Ley y que pudieran constituir una posible responsabilidad.
Asimismo, deberá elaborar un expediente que contenga todos aquellos elementos de prueba
que considere pertinentes para sustentar la existencia de la posible responsabilidad. Para tal
efecto, se deberá, acreditar el nexo causal existente entre los hechos controvertidos y las
pruebas presentadas.
TRANSITORIOS
70
SEGUNDO. El Titular del Poder Ejecutivo, por conducto de la Secretaría de Planeación y
Finanzas, y el H. Congreso del Estado, según corresponda, deberán realizar las previsiones
presupuestales necesarias para la operación de la presente Ley y establecer las partidas
específicas en el Presupuesto General de Egresos del Estado de Tabasco, para el siguiente
ejercicio fiscal al de su entrada en vigor.
TERCERO. Se derogan todas aquellas disposiciones de igual o menor rango, que contravengan
lo dispuesto por la presente Ley.
CUARTO. El Instituto deberá emitir los lineamientos a que se refiere esta Ley y publicarlos en el
Periódico Oficial del Estado, a más tardar el 27 de enero de 2018.
SEXTO. El Gobernador del Estado deberá expedir el Reglamento de la presente Ley en un plazo
no mayor a 180 días hábiles, contados a partir de la entrada en vigor de este Decreto.
71